眾所周知，臭名昭著的勒索軟件LockBit最近栽了個跟頭，被一起11國參與的聯合執法行動查封了基礎設施，勒索服務被迫下線。

英國國家犯罪局（NCA）局長格雷姆·比加爾（Graeme Biggar）表示，執法行動不僅摧毀了 LockBit 的攻擊基礎設施，還獲取了 LockBit 的所有源代碼。官方用“搗毀”一詞，力圖凸顯這次行動的所取得的勝利。美國司法部長梅里克·加蘭（Merrick B. Garland）也對外宣稱，執法行動已經剝奪了LockBit實施犯罪的機會。

美國司法部長梅里克·加蘭（Merrick B. Garland）

但好景不長，僅僅過了不到一周時間，LockBit便從這一重創中光速復活，不僅重新上線勒索網站，并掛出5名受害者，還揚言要對政府部門打擊報復。可見，這起執法行動雖然猛戳了一下LockBit的痛處，但從其自身角度出發，似乎只不過是吃一塹長一智的“成長經歷”。

這也再一次印證了想要徹底鏟除勒索軟件，其難度之大，讓世界都為之頭痛。

光速復活的LockBit到底何德何能

LockBit勒索軟件組織最初于2019年左右出現，自成立以來經歷了兩次重大迭代，不斷改進其勒索軟件功能和攻擊手段，從最初的1.0版本演化為目前的3.0版本。SecureWorks 反威脅部門副總裁唐·史密斯（Don Smith）稱LockBit已占據勒索軟件市場四分之一的份額，而最主要的競爭對手BlackCat占有率僅為8.5%。美國國土安全部曾發布報告稱，在2020年1月至2023年5月期間，黑客使用LockBit軟件一共在美國作案1700余起，從中敲詐得手9100萬美元。

而在今年2月，由英國國家犯罪局（NCA）牽頭、代號為“克羅諾斯”的這起11國聯合執法行動無疑是LockBit自誕生以來遭遇的一次重大打擊。雖然目前看來，這場行動大概是以“失敗”收場，但通過一些行動細節，仍能旁敲側擊地看出LockBit的厲害之處。

“克羅諾斯”行動細節

2024年2月20日， NCA在一份聲明中宣布，通過滲透LockBit的網絡，克羅諾斯行動成功控制了LockBit的服務，進而搗毀了整個犯罪團伙。NCA指出，執法機構已接管該組織用于構建和實施攻擊的主要管理環境，以及該組織在暗網發布勒索信息和公開受害者文件的網站，該網站將成為執法機構發布LockBit調查信息的平臺。

執法機構還對外釋放了 LockBit 后端管理面板截圖、與受害者談判的截圖，試圖證明執法行動對 LockBit 的打擊全面且深入。

LockBit勒索軟件構建工具

執法人員同時還獲得了大量與該組織相關的情報，包括與其合作過的組織，以及利用LockBit服務危害全球網絡安全的信息。他們還在服務器中發現一些已支付贖金的受害者數據，可見盡管該組織聲稱刪除數據后收取贖金，但顯然該組織在背地里還留了一手。

此外，兩名LockBit的參與者在波蘭和烏克蘭被捕，同時超過兩百個與該組織有關的加密貨幣賬戶被凍結。執法機構還總共獲取了超過1000條解密密鑰。

作為該行動的主要參與者，美國司法部長梅里克·加蘭發表視頻稱，在本次執法行動中，美國司法部以涉及使用勒索軟件發動攻擊等行為，對多名犯罪嫌疑人提出了指控。

無論是從技術還是人員，這項執法行動都堪稱對LockBit實施了全方位的打擊，但就是在這樣的力度之下，LockBit仍能快速打贏復活賽，其“城府”之深可見一斑。

LockBit的復活賽

就在官方宣布“克羅諾斯”行動取得重大成果后不到一周的時間，LockBit就高調宣布回歸，其管理員LockbitSupp “謙虛”地反思了自身為何會被攻擊，將原因歸結于“偷懶“沒有及時修復系統中存在的漏洞，讓執法人員鉆了空子，并“感謝”這次執法行動讓他幡然醒悟。

根據LockbitSupp透露的消息，執法人員利用了組織內的受害者管理和聊天面板服務器以及博客服務器所運行的PHP 8.1.2版本漏洞，該漏洞被追溯為CVE-2023-3824。LockBit表示已經更新了PHP服務器，并宣布將獎勵在新版本中找到漏洞的人。

與之伴隨的是新數據泄露網站的上線，LockBit列出了5名受害者的信息及數據泄露倒計時器，并在顯著位置留了一篇給美國FBI的“小作文”，稱由FBI參與的此次行動屬于“狗急跳墻”，因為他們還未掌握組織核心成員的重要線索時“草草”發動了攻勢，并推測這次執法行動與1月LockBit針對美國富爾頓縣的攻擊有關，該攻擊很可能泄露了前總統唐納德·特朗普的敏感信息，并將對即將到來的美國大選構成影響。而執法行動的目的之一就是封鎖消息，阻止特朗普的文件被泄露。

LockBit寫給FBI的“小作文”

LockBit還在文章中稱執法行動獲得的 1000 個解密密鑰只是其“未受保護的解密器”庫的一小部分。該類型解密器被用于低贖金攻擊行動，總共約 20000 個，占整體密鑰庫的一半左右。換句話說，該組織覺得損失這1000個密鑰無傷大雅。

為了避免被再次攻破，LockBit 計劃升級其基礎設施的安全性，改用手動發布解密器和試用文件解密，并在多個服務器上托管附屬面板，根據信任級別為其合作伙伴提供訪問權限。同時，為了出被聯合執法行動針對的這口惡氣，LockBit叫囂未來攻擊行動將集中針對政府網站，尤其是美國聯邦調查局。

除了復活，勒索軟件也能“轉世“

在LockBit之前，已有其他知名勒索軟件組織在遭遇執法行動打擊并下線后，通過成員另起爐灶，或以研發其它變種版本的形式重新拋頭露面。

在2021年10月份的多國聯合執法行動中，勒索軟件組織REvil的服務器被查，2022年1月，俄羅斯FSB稱在美國提供的相關信息后徹底毀滅了REvil并抓捕了幾名主要犯罪人員。但僅隔了不到4個月，研究人員就在野外發現了一個新的Evil勒索軟件樣本變種，由于在加密方式和勒索信格式上與REvil存在類似性，研究人員認為是原REvil組織內部人員借此重新開始活動。

另一大勒索軟件組織Hive也存在類似情況，該組織在2023 年 1 月的一次國際執法行動中被查封。但這之后，一個名為 Hunters International 的新勒索軟件組織開始浮現，并且使用了此前Hive勒索軟件的代碼，其重疊度達60%。但該組織聲稱自己與Hive并無實際關聯，只是從開發者手中購買了加密源代碼。

打擊勒索軟件就像“打地鼠”

從LockBit和以上的例子中不難看出，看似雷厲風行的執法行動很難斬斷勒索軟件的根，陷入一場無休止的拉鋸戰。除了近年來勒索軟件的復雜度顯著提升，勒索軟件即服務（RaaS）的業務屬性也決定了單一執法行動的局限性，想要打贏“地鼠”似乎困難重重。

勒索軟件即服務模式

勒索軟件即服務 (RaaS) 是一種網絡犯罪商業模式，勒索軟件組織將勒索軟件代碼出售給其他黑客，這些黑客再使用該代碼實施自己的勒索軟件攻擊行為。

這種模式不僅給勒索軟件組織廣開財路，同時也讓勒索軟件四處傳播和滲透。在 RaaS 模式下，實施攻擊的黑客與開發人員相互獨立，不同的黑客組織也可能使用相同的勒索軟件。安全人員可能無法明確將攻擊歸因于特定群體，從而使分析和抓獲RaaS運營商和附屬機構變得更加困難。

換言之，如果運營商和附屬機構的任何一方被抓獲，RaaS自帶的風險分擔屬性，也能讓他們有時間和機會重組和重塑活動。比如2023年Hive勒索軟件組織被執法行動查封后，相關附屬組織就紛紛轉向使用LockBit 或 BlackCa等其他勒索軟件；在美國外國資產控制辦公室 (OFAC) 制裁 Evil Corp 勒索軟件團伙后，受害者停止支付贖金以避免受到 OFAC 的處罰。作為回應，Evil Corp 多次更改其勒索軟件名稱以保證付款順利進行。

這種模式的專業化也導致了勞動分工，讓勒索軟件的研發人員專注軟件本身，不斷研發更加復雜且功能強大的版本，使之能夠不斷抵御執法部門的滲透，附屬機構則專注于尋找更有效的攻擊方法，甚至還有專門的“接入經紀人”滲透網絡，并向攻擊者出售接入點。

也正是由于RaaS模式越發成熟，勒索軟件發動攻擊的效率得到了顯著提升，留給安全人員捕獲其蛛絲馬跡的時間窗口也越來越窄。根據 X-Force 威脅情報指數，執行勒索軟件攻擊的平均時間從 2019 年的 60 多天下降到 2022 年的 3.85 天，可謂實現了指數級飛躍。

加密貨幣成為勒索軟件的保護傘

從2017年大名鼎鼎的WannaCry開始，比特幣等加密貨幣越發成為勒索軟件組織索要贖金的重要幣種，尤其是比特幣幣值正飛速上漲的當下。這是由于加密貨幣具有支付轉賬時的全球化、去中心化和匿名性等優勢，不受央行和任何金融機構的控制，可有效隱藏攻擊者的身份，為勒索軟件提供了低風險、易操作、便捷性強的贖金交易和變現方式。

2023年3月15日，反洗錢金融行動特別工作組（FATF）發布的《打擊勒索軟件犯罪資金》研究報告，指出勒索軟件組織正主要通過虛擬資產及其服務提供商收取贖金和轉移資金，并利用強化匿名加密貨幣、混幣平臺等途徑掩飾交易。同時，各國面臨勒索軟件犯罪可疑交易報告數量不足、打擊經驗缺乏、跨境調查與資產追繳難度大等挑戰。

跨國執法帶來的法律困境

由于勒索軟件活動大多帶有跨國性質，不同的國家針對網絡犯罪有不同的法律框架，在對勒索軟件攻擊進行法律治理時常會因為需要進一步確定管轄權、準據法、舉證方式、證明標準等原因造成法律治理上的不便和遲滯，大大減緩了調查及執法速度，甚至一些國家可能有嚴格的數據隱私法，限制與國際當局共享關鍵信息。雖然近來國際一直在強調對打擊勒索案軟件展開合作，但顯然這種合作的效率還趕不上勒索軟件的攻擊速率。

此外，勒索軟件攻擊的國際合作治理還涉及集體公開溯源的問題，即將公開溯源運用到國際治理層面。由于網絡溯源本身的方式和特征，現今時代背景下大國博弈日趨激烈、網絡空間地緣政治化加劇等原因，該治理方式易引發國家間沖突的升級，而相互磋商的過程也會為及時溯源帶來不便。

目前，以西方為主的《區域全面經濟伙伴關系協定》（RCEP）、《全面與進步跨太平洋伙伴關系協定》（CPTPP）、美英澳三方安全倡議（AUKUS）、美日印澳（QUAD）高級網絡小組與美歐貿易和技術理事會（U.S./EU Trade and Technology Council）等協定或組織能夠針對勒索軟件采取一些針對性措施，但在覆蓋面、打擊成果的有效性上仍較為有限，需要不斷協調和平衡。

這讓我們不得不面對一個現實：勒索軟件已對全球企業組織、乃至地區穩定構成了嚴重威脅，但從現有的趨勢不難看出，勒索軟件恐將長期存在并且仍存發展空間，畢竟，網絡犯罪分子很少會在巨大的利益面前淺嘗輒止，尤其是RaaS模式越發成熟的當下。

走可持續打擊勒索軟件道路

正如前文所述，打擊勒索軟件就像打地鼠，但如果打擊的棍棒夠多，就能夠在足夠大的可控范圍內及時控制并遏止勒索軟件犯罪的勢頭，而這依然繞不開國際間廣泛的相互合作。

近年來，以歐美國家為主的多次聯合執法行動由于這類行動大多僅有單一性，未有持續性，覆蓋面上僅有區域性、未有全球性。在動機上，此類執法行動往往也是因為政府核心利益受損后才開始重拳出擊，對政治利益的維護大于對其他廣泛的實際受害者的關切。此類做法不僅對勒索軟件的打擊和震懾作用有限，還會進一步挑起勒索軟件與政府的對立，將政府相關基礎設施置于被勒索軟件組織瘋狂報復的槍口之下。

有專家建議，應當建立由多國參與的獨立國際組織，對打擊勒索軟件存在的技術難點進行攻克，同時擔當法律協調機構，打通各國壁壘，使各國相關數據、情報能夠快速共享，提高應對勒索軟件攻擊的響應能力。

這就不得不再提到管轄權問題，在勒索軟件攻擊的國際管轄問題上，各國面臨著管轄權適用沖突，并不可避免地受到國家利益及各國國際司法話語權的影響。只有各國互相尊重、平等協商，共同建立管轄權沖突的國際規則，方能切實有效地開展以解決勒索攻擊問題為導向，多角度、多層次、大范圍的國際合作，建立起內部規則健全、匯集技術資源的切實有效的國際治理合作機制。

打擊勒索軟件固然是塊難啃的硬骨頭，涉及技術、法律乃至國際地緣政治等諸多瓶頸，但也正是由于勒索軟件危害的全球性和嚴重性，讓各國不得不面對并合作采取措施。勒索軟件的屠刀下，沒有哪個國家能始終安穩地充當一名看客。